Professor
Professional
- Messages
- 653
- Reaction score
- 649
- Points
- 93
БЕЛЫЕ ХАКЕРЫ.
Известный кардер Сергей Павлович беседует с белым хакером (white hat хакер), предоставлющим услуги пентеста (тестирования сайта или приложения на проникновение извне) различным компаниям и сервисам.
Приятного чтения!
Содержание:
Как давно занимаешься пентестингом и что это такое?
Павлович:
Друзья, привет! В ходе наших предыдущих интервью мы не раз встречались и с хакерами, они были гостями студии, и с теми, кто их ловит. Это Group-IB была. И вот сейчас у нас в студии гость. Промежуточное такое звено получается. Он и не хакер, и не тот, кто их ловит, но он white hat хакер.
То есть, что означает?
Хакер:
Пентестер
Павлович:
Пентестер, да. То есть, тот, кто находит уязвимости и сообщает компаниям, что у вас есть такая уязвимость и получает за это денежку. Или не получает. Давай для начала, сколько тебе лет? Как давно ты этим занимаешься? Что такое в целом пентест? А потом пройдемся, как это все выглядит.
Хакер:
Да-да-да, я расскажу немного о себе Мне 28 лет Я занимаюсь поиском уязвимостей в общем, исследованием в области информационной безопасности. Веду свой техноблог, где рассказываю о различных инструментах. Где? На Ютубе или где? На Ютубе, да. Начинал, правда, в ТикТоке. Потом тебя ТикТок заблочил, собственно, как и меня сегодня, нет? Да, но многие видео блочили.
Как раз-таки самые интересные, где там про пентест. ТикТок постоянно это блочит всё. Поэтому я вот сейчас начал снимать свой Ютуб, чтобы более как-то делиться информацией о инструментах, как раз-таки по пентесту, собственно. Kali, Linux, ну и прочие вот эти все вещи. И сколько ты этим занимаешься? Я занимаюсь этим примерно 5 лет. Но я не всегда этим занимался.
Я работал и аналитиком, то есть после получения образования. Работал аналитиком системным, работал в сфере безопасности, сетевиком работал.
Павлович:
Сетевик – это сис-админ?
Хакер:
Ну да, да. То есть параллельно я занимался сниффил сетки в корпорациях, на предмет утечек различных, ну вот такие вещи.
Павлович:
5 лет – это нормальный уже опыт для пентестера,
Хакер:
Уайтхед-хакера или это малый? Да, это приличный на самом деле возраст для пентестера. Но я в самих пентест-компаниях не работал, хотя мне предлагали работать, не буду называть, в каких.
Павлович:
Привет, Касперский.
Хакер:
Ну, сейчас я занимаюсь, в общем-то, частной практикой. А почему ты в маске тогда? В маске я, потому что начал вести свой блог в маске, и какое-то время рассказывал про асинт, про разведку, и многие меня постоянно пробивали, еще что-то. Но это как большой образ, я ни от кого не скрываюсь, криминалом не занимаюсь. И те, кто меня находит, не пишите, пожалуйста, взломай аккаунт жены.
Взломай ВК. Нет, у них любимый вопрос – это жена забыла пароль от одноклассников. Вот такие вот забывчивые жены.
Павлович:
Как легко взломать сейчас аккаунты в соцсетях? Потому что, когда мне один раз в жизни понадобилось, у меня были обоснованные подозрения, я платил на одном форуме. На 15 долларов, по-моему, это был 2008 год, и мне буквально за несколько часов мне скинули аккаунт того человека, который меня интересовал. Причем все без кидалово, потому что был скриншот моего именно сообщения, которое я туда отправил.
Хакер:
Да, его действительно можно взломать. В основном используются фишинги, то есть перехват сессий аутентификационных. Ну, поддельный сайт ВВК для одноклассников. Да, всё верно. Вот, у меня тоже знакомого недавно взломали. Ну, там, как обычно, рассылка по контактам. Мол, пришли денюжку. А в этот момент, чтобы жертва не заходила, ей никто не дозвонился, они, в общем, досили телефон.
Вот такой вот интересный метод.
Павлович:
Ну, то есть, смс-бомбер поставили, да?
Хакер:
Да, досили его очень сильно, и человек не мог в районе двух часов попасть и ни с кем связаться. В этот момент. Ну, в момент взлома, соответственно.
Павлович:
Но обычно так не делают даже, да, не доходят до этого.
Хакер:
Ну, да. Это уже более такие профессиональные ребята поработали.
Павлович:
Моего брата взламывали, младшего, в ВК его взламывали и тоже делали такую рассылку, там, застрял на границе, скинь срочно денег надо, вечером приеду. Еще использовали такой момент жадный, знаешь, вечером приеду, отдам там на 10 долларов больше. Но и хотя его там все эти контактлисты, друзья, они все молодые, у них денег особо нет, студенты там, а они перечислили ему там где-то около 200 долларов все равно, и потом еще говорили, что это ты там сам замутил, да,
ну, а его взломали, а он повелся, была рассылка типа там, в игры там часы, не знаю, к Xiaomi, к примеру, и он авторизовался на левом этом сайте, получается, фишинговом, поддельном, через свой ВК, то есть сам отдал зломышленникам в руки пароль от своего ВК.
Какую соцсеть взломать легче всего и почему?
Павлович:
Какую соцсеть сейчас из русских, ну и Фейсбук тот же возьмём взломать, легче всего? И почему?
Хакер:
Это на самом деле без разницы, какую сеть. Все одинаково имеют двухфакторную аутентификацию. И тут дело фишинга и социнженерии. Но пентестеры этим не занимаются, то есть, ни фишингом, ничем. Тут немножко это по другим ребятам.
Павлович:
Ты сам затронул взлом соцсетей. Давай тогда в целом определение пентесту в твоем понимании или в общепринятом.
Хакер:
Пентест – это, скажем так, такая дисциплина в информационной безопасности, предназначенная на нахождение уязвимости и, соответственно, составление рекомендаций по их устранению.
Как выглядит практика частного пентестера?
Павлович:
Ты говоришь, что ты занимаешься частной практикой. То есть, когда ты работаешь в компании какой-то крупной, там все понятно. То есть, ты пришел на рабочее место, отработал там месяц, получил денежку, зарплату. А как выглядит частная практика white hat хакера, то есть, частного пентестера?
Хакер:
Это реклама на данный момент. Это где-то фриланс был раньше. Но в законодательной базе все сложно в этом моменте, потому что если кто-то попросит просто, проведи мне пентест, он может, например, не заплатить денег и сослаться на 272 статью Уголовного кодекса неправомерный доступ к информации, соответственно.
Поэтому нужно заключать договор, желательно составлять с юристом. Вот если вы захотите заниматься пентестом, то лучше заплатить 5 тысяч, если...
Павлович:
Ну у тебя же есть типовой какой-то договор.
Хакер:
Да.
Павлович:
Можно дать людям там ссылку прикрепить, к примеру.
Хакер:
Да.
Павлович:
Вот. Потому что много, знаешь, там, последователей твоих, к примеру, есть, которые что-то научили взламывать, им хотелось бы на этом зарабатывать. Они боятся попасть в тюрьму и не идут на черную сторону. Да, ставим ссылку тогда на договор, какой-то типовой. И ты, получается, заранее составляешь договор, что я буду взламывать ваш интернет-магазин или вашу сеть, вашей корпорации?
Хакер:
Да, причем должно быть все оговорено, то есть время, что конкретно, IP-адреса, вот это все должно быть оговорено, чтобы ни шаг влево, ни шаг вправо, чтобы где-то уже это не попадало, не уходило за рамки пентеста, получается.
То есть от себя там что-то сделать, мол, вот я в качестве бонуса ддос-атаку сделал, например, точнее, стресс-тест, как правильно говорить в пентесте, то это уже как бы совершенно другая история.
Бывали случаи, когда случайно DDoS'ил сайт?
Павлович:
А были у тебя случаи, когда ты в ходе пентеста, именно у тебя ддос происходил, и как на это реагировали клиенты?
Хакер:
Ну, клиенты хорошо реагировали, если они просили это.
Павлович:
А если не просили, вот ты тестируешь мой сервис и кладешь его на несколько часов, ладно, мы договорились, что ты будешь там, ну, я подозреваю, что так возможно случиться, И мы договорились, что это с часа ночи будешь, когда мало, допустим, посетителей на сайте. А вот днём ты тестируешь, не знаю, крупный шоп, допустим, MVideo, к примеру, очень крупный, да, Лехов какой-нибудь. Загонит тебя за рекламу.
И получается, что ты кладёшь их в сайт, и всё.
Хакер:
Бывали такие случаи? Нет, такого не бывало, потому что без договора, ну, соответственно, это уже как бы, ну, криминальное действие.
Павлович:
Ну, случайно, я имею в виду, бывало в ходе пентестов, когда ты кладёшь чью-то сеть ддсом, по сути?
Хакер:
Да нет, в принципе, нет такого не было.
Павлович:
А вообще в практике пентестеров такое часто встречается?
Хакер:
Вообще положить можно, да. Но, как правило, такие платформы, точнее, компании, которые выдвигают свою Bug Bounty-программу, должны, соответственно, согласовывать с пентестерами, что там будет происходить. Как я ранее сказал, просто заддосить сайт и положить его, это не камильфо, скажем так.
Как проверить сайт на уязвимость DDoS?
Павлович:
Как быть, если я хочу проверить стойкость своего сервиса, например, на уязвимость к ддосу? А именно имеется в виду, если вы сами будете пантестить? Ну вот меня, допустим, уже все дыры закрыли, которые мы знаем, за исключением нескольких XSS, к примеру, беспантологов, да, и я хочу проверить, выдержит ли он нормальную, масштабную, разноплановую, разного типа ддос-атаки.
Справка:
Bug Bounty - это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить уязвимости, прежде чем широкая общественность узнает о них, предотвращая злоупотрбления.
Хакер:
Просто составляете доп. соглашение, где будет прописана еще одна дополнительная услуга, оговоренная по времени проведения и так далее. Ну и, соответственно, претензии не имеете, если ваш сервис там ляжет, грубо говоря. На несколько часов.
Павлович:
Ну да. Ты сказал Big Baunty, то есть Big Bounty – это охотник по сути за ошибками, охота за ошибками, да?
Хакер:
Да, да, да. Это легальные такие платформы, куда заходят крупные компании, выставляют свой таск и, соответственно, намечают стоимость за уязвимости.
Павлович:
Ну, к примеру, я поясню, если вы не поняли. Компания Kiwi, к примеру, пишет там, за уязвимость критическую мы платим 5000 долларов, за уязвимость какую-то интерфейс мы меньше платим и так далее.
Самые известные платформы пентестеров
Павлович:
Самые известные такие платформы это какие? HackerOne?
Хакер:
HackerOne, это Баккраут, вот я знаю, да, две такие основные платформы, на которых, собственно, все крутятся.
Павлович:
Но ты заказы получаешь основные там, либо с таргетинговой рекламой?
Хакер:
Нет, я, кстати, с ним еще пока не работаю, мы планируем на них выходить сейчас. Мы в настоящее время пишем бот для автоматических тестов. Единственный момент, что мы пока не знаем, как это все с юридической стороны. Потому что если мы в публичный доступ выложим бот, то будет кидать чужие сайты. Кидать чужие сайты, да. И вот кстати очень интересный момент, почему обязательно договор нужен.
Потому что конкурент может действительно попросить сделать пентест своему конкуренту. И это уже как бы правонарушение будет получается.
Павлович:
Так что бота придется, код бота придется стирать. А вот эти платформы типа HackerOne, я знаю, они хороши для пентестеров тем, что там есть рейтинг каждого.
Хакер:
Да, но русских компаний там не так прям много сейчас. Но Киви я видел. Да. Там есть, кстати, приложение, можно тоже… Разные уровни там есть критические, в основном четыре уровня. Четвертый получается уровень критический – это с возможностью инъекции, там SQL-инъекция, XSS-уязвимость, и мелкие различные, там за них платят от нуля, скажем так, до 100 долларов.
Это какие-нибудь сервер-ликс, когда разработчики оставляют какую-то информацию, например, о версии PHP или версии самого сервера. Бывает список паролей оставляют в открытом доступе в комментариях.
Где, в основном, рекламируешься?
Павлович:
Вот ты слил, допустим, на какую-то таргетированную там контекстную рекламу, ты где вообще в основном рекламируешься?
Хакер:
Google, Яндекс. То есть контекстная реклама. Контекстная, хочу таргетированную.
Павлович:
Вот ты слил, например, там тысячу долларов, сколько это заявок приносит и сколько из них становится реальными клиентами, доходит до оплаты?
Хакер:
Так прямо сейчас не скажу аналитику точную, но где-то.
Павлович:
Я скажу так, что… По процентам можешь сказать, из ста процентов там.
Хакер:
Нет, я, наверное, на расходные 3000 рублей, скажем так, можно получить одну заявку, вот так где-то. То есть, там 50 почти долларов, чуть меньше одна заявка. Да. Реальная, за которую заплатят? Да. Ну, плюс-минус. Не всегда, конечно. Это, опять же, такая кривая статистика. Это я так сказал. Но заказ, вот, средний получается от 7 до 15 тысяч.
15 тысяч – это можно сделать самый крутой тест социотехнический называется.
Павлович:
Позвонить сотруднику и попробовать обмануть его и выведать у него пароль админский?
Хакер:
Не совсем позвонить, можно и позвонить на самом деле, если это будет оговорено. Социотехнический тест – это когда, скажем так, как Рэд Тимминг, о нем знает, скажем так, руководитель. Ведь большинство ошибок – это человеческий фактор. И сначала, грубо говоря, проводится вот такая социоатака.
Типа на корпоративную почту присылается какая-нибудь полезная нагрузка, которая, допустим, откроет какой-нибудь порт, и можно получить реверс.
Павлович:
Ну типа письмо от налоговой, да, с подмененным e-mail на налоговую, к примеру, а там будет какая-нибудь PDF или макрос Excel, который запустит эксплуат.
Хакер:
Да, допустим. Если это всё не срабатывает, то, получается, переходим к внешнему тестированию. Вообще, OpenTest делится на два типа тестирования. Это BlackBox и WhiteBox. BlackBox – это анализ защёности внешней.
А whitebox – это, например, когда заказчик предоставляет VPN-соединение, и что можно внутри сетки уже там потыкать ее различными способами.
Павлович:
Ну а blackbox – это из интернета, да?
Хакер:
Да, когда предоставляется там, допустим, белый IP-адрес, IP-адрес сервера, и вот там различными инструментами и технологиями проверяется наличие уязвимости, открытые и закрытые порты, ну и так далее.
Павлович:
IP-адреса, допустим, моего сайта, ты не знаешь, он скрыт за Cloudflare или этим досгвардом, что ты будешь делать?
Хакер:
Это уже на самом деле проблематичная история, но в принципе можно бы пингануть, как-нибудь его вытащить оттуда, посмотреть.
Павлович:
Вот мы сегодня сами нашли способ, там висят на субдоменах сайты, и мы нашли, что один из сайтов в свете просто айпишник реальный. А где? Хуиз смотрели? Я не знаю, это у меня сегодня Прогер написал. То есть я говорю, что что-то не восстановил этот сайт, там SSL слетел, он говорит, так потому что из-за него, говорит, он светит этот, он светит, все закрыты, основной домен и субдомены закрыты за клаудом, но он говорит, вот там все послетало, короче, SSL и прочее, я его, говорит, не поднимаю, потому что он светит, наш реальный айпишник.
Хакер:
SSL слетел, получается. Ну, я понял.
Спонтанное проникновение на сайт без договора
Павлович:
А по такой схеме, когда ты сам нашел какой-то случайно там шарился в интернете, нашел какой-то уязвимость на сайте, там что-то взломал, посмотрел, что она такая критическая. В принципе, ну ничего не удалял там, не стирал, следы и все логи почистил, и я сталкивался с таким сам. И пишет компанию потом, что у вас там какие-то уязвимости достаточно серьезные, которые могут привести к тому, к тому. Давайте я вам все исправлю, и вы мне заплатите 200 долларов, например.
Хакер:
Ну, вопрос такой тоже сомнительный, на самом деле. Но так делают. Делают, да. Можно так сделать, действительно. Действительно, можно, но не факт, что заплатят просто. Потому что нет договора, там, скажут, ну, есть-есть, допустим. У меня просто был такой случай. Ещё когда я учился в университете... Ты на кого учился? Информационную безопасность, комплексное обеспечение. Был случай, тоже я постоянно тыкал какие-то сайты.
И, в общем, тыкал сайты, которые занимаются КГБ-атрибутикой. То есть там кружки, флаги, вот это всё. Ну и натыкал там, искали инъекцию. В общем, запустил всё передо мной, грубо говоря. Вот эта вся база данных из QL. Список клиентов, заказы, цены. Заказы, цены, пароли, естественно, тоже. От админки там все. И, в общем, ничего не сделал, потому что думаю, ну, сайт КГБ, сейчас напишут мне еще это.
Влепят что-нибудь. Ну, так вот.
Павлович:
Ну, когда мне написали и показали, что у меня есть, я заплатил без проблем. То есть заплатил, и потом этот парень защищал нас долгое время. До сих пор общаемся. Но из, окей, допустим, не из твоей личной статистики, а в целом вот у White Hat хакеров, да, вот нашли там ты, твоя банда, там знакомая, там неважно, сообщество пентестеров нашло, допустим, 100 уязвимостей сами. Вот вы делаете 100 рассылок, к примеру, на корпоративную почту, естественно, или там на LinkedIn личный директор у этой компании.
Из 100 отправленных вот таких отчетов сколько в итоге будет оплата, к примеру, и сотрудничество?
Хакер:
Ну, это сложно сказать, на самом деле, потому что нахождение просто пальцем в небо, это похоже на вот заплатите мне что-нибудь, я вот у вас там, ну как бы, это несерьезно в основном, потому что многие просто платить не будут. У нас же как в России, по крайней мере, пока не взломают, пока там я что-то не потеряю, вот, ну и никакие пентесты нам, собственно, не нужны.
Пока гром не грянет. Да-да-да, пока гром не грянет. И поэтому у нас, к сожалению, пока не очень развита эта вся история. В Америке она уже, ну, где-то в Европе уже вовсю идет, там, безопасность, еще что-то. Но там есть огромная штраф,
Павлович:
Это репутационная потеря, раз. Да. Можно вообще бизнесы лишиться. Во-вторых, огромная штрафы государству, если ты, по твоей вине, доказано из-за халатности, что ты вот допустил такую утечку.
Хакер:
Мало того, еще почему, много же существует эксплойтов, которые действительно работают сейчас у многих, так как я знаю даже лично многие компании, ну там небольшие даже фирмы, у них там сервера на них, вроде казалось бы очень важные данные на них, там CRM какие-то висят, еще что-то.
Но у них в общем-то левый софт, левая операционная система, вот это все старое, устаревшее, не обновленное И потом, хоп, можно какой-то эксплойт эксплуатировать и получить доступ.
Павлович:
Основная ошибка, с которой ты сталкиваешься в работе, то есть это не пропатченные сервера и ПО, как ты сейчас говоришь, да?
Хакер:
Да, это самая главная ошибка. Самая главная ошибка – это необновление, соответственно, программного обеспечения.
На какой операционке сервер самый безопасный?
Павлович:
На какой операционке сервер безопаснее всего, на твой взгляд?
Хакер:
Да на самом деле неважно. Если зайти в базу SVA, то можно эксплойтов найти как и под Linux, так и под Windows. То есть тысячи просто. Зависит, наверное, больше от настроек. Да, ровные руки. Да, да, да. Плюс файрволы. В основном же DLP-системы еще ставят. Какие-то файрволы, DLP-системы. Это прям серьезно, если подходить к вопросу.
А мелкие компании, конечно же, этими занимаются.
Павлович:
Ну, еще мне ребята рассказывали, часто не отключают неиспользуемые порты.
Хакер:
Да.
Павлович:
Тоже такая распространенная ошибка.
Хакер:
Да. Ну, и я уже не говорю о том, что у нас действительно в России еще многие пользуются, ну, Windows 7, как бы, я знаю таких человек, а у них, как бы, Eternal Blue, разные, работает под любую, под любую семерку, как бы, даже не надо там ничего скидывать.
Нужно ли знать языки программирования для пентестинга?
Павлович:
Ну вот XP была в этом плане неплохая система, потому что она уже столько пропатчена была просто, и когда её перестали обновлять, хотя уже на маке давно было, я даже чуть не плакал. Нужно ли знать языки программирования какие-то для пентеста?
Хакер:
Да, обязательно. Какие? Это веб обязательно, если мы говорим о веб-уязвимости. Ну HTML ты, Миша, да? HTML, JavaScript, PHP, какие-то каскадные таблицы типа CSS, но это всё надо просто понимать, потому что это всё в комплексе. И что касается, если мы говорим о исследовании программного обеспечения, т.е.
Обратной разработки, reverse engineering, то это Assembler, конечно же, C++, Assembler надо знать, чтобы сделать нормальный реверс IDPRO или OLIDEBUG старенький, чтобы это всё сделать. Если заниматься только этим реверсом, это уже ближе к вирусному аналитику получается.
Но, например, уязвимость переполнения буфера можно таким образом найти в каком-нибудь приложении, написать свою СВЕ-шку, да, уязвимость, и будет уязвимость нулевого дня, скажем так.
Павлович:
А сколько ZeroDay, да, вот этих уязвимостей нулевого дня ты сам лично находил за карьеру?
Хакер:
Была уязвимость в приложении, если я не ошибаюсь, это какая-то читалка, по-моему, PDF-ная, там было переполнение, вот. Ну такие в основном уязвимости дорого стоят, ну это среди хакеров там они закрывают.
Павлович:
Ну да, и по 500 тысяч долларов есть, и по миллион. Их спецслужбы, как правило, в Америке скупают.
Хакер:
Да, и, собственно, дороговизна таких эксплойтов зависит от масштабности применения данного софта. Если в винде в десятке какой-то там уязвимость нулевого дня, то это будет вообще прям очень круто. Я даже слышал, что Apple вроде миллион долларов готова заплатить, если будет найдена уязвимость на телефоне, по-моему, на айфонах, чтобы получить контроль над айфоном без каких-то там брутофорсов, еще что-то.
И социальной инженерии. Да.
Что заказывают тестировать сейчас: сайты или приложения?
Павлович:
Веб-сайты либо приложения, что заказывают сейчас люди тестить больше всего?
Хакер:
Сейчас на самом деле уже уравнивается эта история, Потому что многие, получается, разработчики выкладывают свои программы, то есть даже мобильные приложения, они выкладывают на бакбаунте. Поэтому сейчас и то, и то, ну, в принципе, пользуются.
Павлович:
60 на 50, да?
Хакер:
60 на 40 где-то.
Павлович:
То есть приложение 40%?
Хакер:
Где-то так, где-то так.
Какие программы нужно иметь пентестеру для начала?
Павлович:
Какие наборы программ, может, какие-то там сетевые тулсы, там эксплойт паки и прочее нужно иметь пентестеру, чтобы уже так начинать карьеру, либо успешно её вести?
Хакер:
Ну, желательно скачать какую-нибудь операционную систему, Kali Linux, например. Можно BlackArch. Наверное, лучше Kali Linux, потому что информации просто на неё доступны больше в интернете. На самом деле неважно, какая операционная система, потому что, в принципе, все инструменты можно скачать на обычную Linux, на Debian какой-нибудь или на Ubuntu, просто зачем это делать, если уже есть готовый инструмент.
Из инструментов это, наверное, метасплойт, такой самый простой для вхождения, скажем так. Интуитивно понятно все, там подгружаешь эксплойт, подгружаешь payload, устанавливаешь настройки, соответственно, IP-адрес жертвы и, в общем, эксплуатируешь. Да-да, нет, пробила, не пробила, вот такого плана.
Инструментов много, это Wireshark обязательно для анализа сети, это SQL map для исследования на SQL инъекции и прочее, Nmap обязательно для сканирования, например, в локальной сети просканировать сетку и получить локальные IP-адреса всех машин, чтобы и соответственно уже их там тоже можно было поплистить.
Словари для брутфорса? Да, словари для брутфорса, хэшкэт, тоже такой есть инструмент. На самом деле их очень много, и в комплексе результат получается лучше, если все использовать.
Павлович:
А сколько времени занимает вот пентест, не знаю, какой-нибудь интернет-магазин в твоем исполнении? Ну MVD уже, к примеру, мы о нем заговорили.
Хакер:
Ну, достаточно широкий вот такой. Да-да-да, если мы говорим о серьезной организации, то можно от часа до месяца, я не знаю, там, искать баги какие-то. Вот если говорить прям про серьезный.
Сколько времени примерно тратишь на один заказ?
Павлович:
Ну, а из основных твоих вот заказов, сколько времени ты на каждый тратишь, плюс-минус, усредненно?
Хакер:
Нет, если, например, компания небольшая, просто фирма какая-то, ну, там, хотим сделать. Я думаю, часа 4 где-то выходит примерно. И это стоит там 15 тысяч, к примеру?
Павлович:
Я думаю, 7-10. 7-10?
Хакер:
Да.
Павлович:
То есть за 4 часа ты зарабатываешь, ну пусть 7 тысяч, к примеру, это 100 долларов, то есть 25 долларов в час примерно?
Хакер:
Это в том случае, если заказов столько, много. Но, как правило, в России на пентест столько у нас не выходит, на самом деле. Что вот прям...
Павлович:
Постоянно искал?
Хакер:
Постоянно, да, мы там в работе, все 24 часа мы пентестим там что-то.
Павлович:
Ну, естественно. Как часто просят, после того, как ты предоставил заказчику, например, отчет об уязвимостях, как часто просят устранить их или связаться с их? То есть это происходит как? Ты устраняешь, да, за доп. Плату, например, или объясняешь их программисту, где что сделать, или они уже собственными полностью усилениями их устраняют?
Хакер:
Нет, устранению уязвимостей мы не занимаемся, у них есть свои веб-разработчики, мы пишем довольно-таки подробный отчет, может быть, 20, 40, 60 страниц, может даже больше.
Павлович:
Ну, типовой просто, ты пункты заполняешь как чек-лист.
Хакер:
Такой. Да-да-да, потому что на самом деле закрыть эти уязвимости не так сложно. И уже они либо нанимают кого-то там заново, допустим, они сделали один раз сайт, ну вот у них дырка, надо ее закрыть, они там нанимают кого-то, то есть мы закрыть как там веб-мастера, ничего не делаем, не меняем у них, только рекомендации. А ты постоянно говоришь мы, мы, мы. Это кто? Ну, у меня еще есть пара ребят, так скажем, энтузиастов, которые со мной этим занимаются.
Ну, нравится им просто. Короче, ваше ОПГ.
Павлович:
Кайфовать, да, от этого. Понял. И как распределяются доли, например, от заказа вы получили там? То есть через тебя же заказы, я так понимаю, идут?
Хакер:
Да, ну, по времени работ, когда 30, когда 40 процентов. Иногда просто, не знаю, человек полностью сделан, там, 100 процентов. То есть я в этом плане как бы это... У меня нет четко построенной какой-то бизнес-истории, где я им говорю, там, вы получаете 15 процентов, а я, там, 85.
Кем ты себя видишь через 5 лет?
Павлович:
А кем ты себя видишь в информобезопасности через 5 лет, допустим?
Хакер:
Я думаю, в этой же сфере. В сфере пентеста и исследования. То есть так же частным мастером, по сути? Да, да, скорее всего так. Компанию не планируешь? Хотелось бы, хотелось бы. Очень показательный пример, конечно, это Group IB. Серьезная история. Но вот что-то узконаправленное, именно по пентесту, хотелось бы такое что-то сделать.
Насколько сильна конкуренция между пентестерами?
Павлович:
Насколько сильна конкуренция между White Hat хакерами?
Хакер:
Огромная, огромная конкуренция. В том плане, что очень много ребят учатся, заканчивают эти специальности. Очень многим интересно это все. Много ребят занимаются в CTF. Захват флага, у них такие турниры тоже происходят. Но, к сожалению, вакансий очень мало. Официально трудоустроится? Я смотрел, на Headhunter всего 25 вакансий.
Вот это все официально. А так, получается, человеку надо где-то искать. Ну, наверное, это секьюрные компании какие-то.
Павлович:
Что мешает пойти тогда на западный рынок, где больше денег и больше заказов?
Хакер:
Я думаю, английский язык для многих тоже становится барьером таким, как ни странно. Хотя, в принципе, сейчас многие его знают, но не все готовы, скажем так, переехать. И у нас же как? Даже когда я учился, у нас в основном преподаватели наши, это полковники, подполковники. Ну, и как-то вот все это происходит. Патриотизм, то есть, очень сильно у нас.
И многие пытаются все-таки находить... Многие в НИИ идут работать, в различные, где платят там по 25 тысяч рублей. Поэтому немногие готовы переехать куда-то. Ну, и нужны какие-то коммуникации. Поэтому не у всех получается это, к сожалению.
Мешает ли совместный, но не согласованный пентестинг на сайте?
Павлович:
Да, с английским у нас до сих пор, конечно, беда. Я помню, как меня в школе учили, там, «Seasons and Weather», «London is the Capital of Great Britain», там, и так далее. Если несколько white hat-хакеров тестируют одну систему, они мешают друг другу или нет?
Хакер:
Да, они заполняют эфир. Потому что, например, если мы говорим про стресс-тест... Ну, твоя группа, например, втроем вы тестите. Нет, нет. То есть, если, например, мы тестим веб-сайт, то не мешаем друг другу, потому что мы, допустим, если вручную тестируем через какой-нибудь Burpsuit…
Павлович:
Это что такое?
Хакер:
Это специальный софт для нахождения уязвимостей на сайтах, соответственно.
Burpsuit вешается на localhost и, получается, он находится между браузером и сайтом. И, соответственно, можно принимать, подделывать все запросы отправлять на сайт. Модифицировать, скажем так. Ну и смотреть как сервер реагирует на эти запросы.
Павлович:
А если несколько сторонних групп, например, то есть не связанных между собой, вот он заказал пентест там у вас, заказал у швейцарской компании какой-нибудь и не разнес их по времени и вы тестируете, а так случайно сложилось в одно время?
Хакер:
Если это не DOS, то это не критично, потому что при обычном тестировании, через тот же Burpsuite, там не настолько много запросов, чтобы как-то мешать друг другу, чтобы какая-то возникала коллизия, поэтому это в принципе не проблема. Нескольким группам работать, а с одним веб-ресурсом.
Павлович:
Твоя любимая вязвимость, вот у меня, например, была SQL. Я больше ничего не умел просто.
Хакер:
На самом деле и моя любимая тоже SQL, и XSS, конечно же.
Изменилась ли ситуация с SQL-инъекцией за это десятилетие?
Павлович:
Я когда писал книгу свою, в ней собирал информацию, там было написано, уже не помню сколько точно, порядка 40% мировых веб-сайтов, описал её там в 2010 году, подвержены SQL-инъекции. Изменилось ли вот с 2010 года, за десятилетия что-нибудь в сфере SQL? Стало ли их меньше или всё то же самое?
Хакер:
Да, конечно изменилось, потому что появились уже более безопасные фреймворки, где она прям находится на на первом месте по АВАСП, это уязвимость ИСКЕЛИ. Её, конечно же, не так просто сейчас найти. То есть ИСКЕЛИ уязвимостей сейчас меньше? Да, определённо меньше, конечно. Много других есть разных, скрытых, которые не входят в этот топ-10. Потому что там в топ-10 такие слишком уже прямые ссылки.
Любимый инструмент Масоловича, то есть адресная строка, там, перебрать.
Павлович:
Незакрытые папки находить?
Хакер:
Незакрытые папки, да, такие вещи. И поэтому, конечно же, ее намного меньше сейчас на сайте. А что вот в этом топ-10 угроз? Ну, это инъекции, прямые ссылки, сессии, которые не привязаны, допустим, к IP-адресу, XSS, вот это все. Но самый опасный получается, который позволяет инъекцию взять кода.
Если XSS, то JavaScript.
Павлович:
С XSS часто ничего нельзя сделать, можно просто в ходе одной сессии заменить что-то на сайте и скриншот сделать. Так я то же самое могу сделать через код сайта.
Хакер:
Можно украсть, например, куки пользователя.
Павлович:
Через XSS?
Хакер:
Да.
Есть ли у тебя определённая сертификация?
Павлович:
Есть ли у тебя определенная сертификация? Потому что, знаешь, как сисадмины сдают, у них там от СИСКа, например, сертификат какой-то, веб-мастера, которые рекламу в Гугле настраивают, у них тоже, они часто, у меня друг в тесте, он является сертифицированным тренером.
Хакер:
Гугла. Ну, обязательно, опять же, сертификации тут нет при устройстве на работу, тут чисто знание как бы, ну, можно и получить, в принципе, но я никогда их не проходил, то есть я обучение проходил, предсертификацию, но никогда их не сдавал, собственно, потому что не было нужды Меня их как-то никогда не спрашивали. Там есть тот же цех, вот эти вот все для начинающих и так далее. Поэтому я их никогда не получал.
И, в принципе, они действительно не нужны.
Павлович:
А какой имел бы смысл, например, из всех вот таких сертификатов получить человеку, который работает в такой же области, как и ты или тебе для дальнейшего трудоустройства в крутую компанию, к примеру?
Хакер:
Наверное, по сетям что-нибудь. По ЦИСКу что-нибудь, например, такое можно получить. То есть там просто обучение предполагает, что человек действительно очень досконально изучит строение сетей полностью. И уже вот этот сертификат, он может показать, что он действительно знает 7 уровней модели оси, TCPIP протоколы, и вот с этим уже как-то можно работать.
Какие основные направления есть у пентестинга?
Павлович:
Ну да, я видел там список вопросов, я бы, не знаю, на один из десяти ответил, может быть. Какие основные направления, если они есть, существуют в пентестах, подразделяются на что?
Хакер:
Редтимминг, пентест и… ну да, и все, получается.
Павлович:
Ну, блэктимминг тогда.
Хакер:
Нет.
Павлович:
Ред? Нет такого. Ред. Я много раз слышал редтимминг, но у меня не было времени во все это погружаться. Опиши, что это вообще такое, простыми словами.
Хакер:
Редтиммингом занимаются же более… заказывают более серьезные корпорации, у которых Firewall, DLP-система, и суть редтиминга заключается в том, что пользователи не знают, что будет проведен пентест. Он может произойти, например, ночью на кампанию, и это будет без ведома рядовых сотрудников.
А пентест, соответственно, оговаривается со всеми, что так и так, будет проведено тестирование с правами какого-либо пользователя это будет все происходить.
Павлович:
То есть принципиальное отличие одно, редтиминг – это когда никто кроме директора образно не знает, что будет, а пентест, в принципе, много кто в курсе. Да, да, да. Многие кто в курсе и поставлены, скажем так. А в инструментарии и в тактике там отличия?
Хакер:
Нет, различий нет практически. Но скорее всего, будут использованы более какие-то глобальные сети, чтобы это был действительно DDoS, а так, а не DDoS, потому что, естественно, какую-то крутую сетку, стресс-тесты делать с одной машиной – это как-то несерьезно. Ну и стоимость, соответственно, в разы будет отличаться. Да.
Какую литературу можешь посоветовать начинающим пентестерам?
Павлович:
Какую литературу для людей, которые хотят заниматься такими взломами на заказ, легальными совершенно, ты мог бы посоветовать, чтобы зарабатывать, не знаю, сколько Как ты зарабатываешь, кстати, вот такой частной практикой сейчас, на данном этапе?
Хакер:
Выходит по-разному. Ну, где-то 150 сейчас. 150, да. То есть, как бы, если сейчас расширяться как-то, мы сейчас планируем еще, я, точнее, планирую еще заняться обучением. Хочу записать свой курс, действительно, годный по всем этим инструментам. Потому что вся информация разрознена, там, где-то что-то на английском. Хочу, чтобы вхождение было попроще, как бы с этим курсом можно было посмотреть.
Павлович:
Мы в сентябре выпустим на рынок хорошее приложение именно для курсов, которое на порядок лучше гет-курсов. Так что подожди до сентября с курсом.
Хакер:
Итак, литература. Литература, значит, обязательно по сетям. Это Танинбаум, компьютерные сети. Это архитектура компьютера Танинбаум и Танинбаум операционной системы. Сколько он тебе заплатил? Нисколько, да. Я думаю, он не нуждается в этом. И, наверное, можно порекомендовать книгу «Искусство эксплойта».
Это вот именно по реверсу. Очень будет хорошо и полезно. Ну а так какие-то курсы смотреть, находить информацию.
Павлович:
А по социальной инженерии книги? Я вот читал Митника, например, «Призрак в сети». У него какая-то вторая еще книга есть. Мне достаточно понравилось, как звонили, выведывали.
Хакер:
Лучше начинать с техники, с технологий, потому что многие пентестеры уходят, хакерами становятся или мошенниками. К сожалению, вхождение в профессию действительно сложное, и многие не готовы тратить много времени, потому что тут языки программирования, знания сетей, стеков, протоколов. Администрирование, получается, там, линуксов, макос, там, вот это всё венды, это всё надо знать, и, к сожалению, очень вход сложный, и, ну, вакансий мало, да, о чём я говорю.
Из-за этого идут на тёмную сторону? Из-за этого, да, к сожалению, многие вот начинают взламывать кого-то ещё.
Какие сайты ты читаешь для получения новостей по своей специальности?
Павлович:
А достойны какие-нибудь сайты, вот, именно по информобезопасности, которые ты регулярно читаешь для получения новостей, каких-то уязвимостей? Ну, я...
Хакер:
Ну, Хакер.Ру читал свой? Факеру, конечно, читал. Ксакеб, да? Да. Ксакеб. Есть, ну и эксплойт датабейс, такие вот вещи технологичные можно посмотреть. Какие новые там появляются, эксплойты те же, уязвимости. Много чего читаю на самом деле.
Павлович:
На русском, на английском?
Хакер:
На английском, на русском.
Эпилог
Павлович:
Оставим, задавайте вопросы, пишите, о чем бы вам хотелось узнать в рамках пентеста, а что осталось за рамками нашего интервью, я попрошу его мониторить, ваши вопросы отвечать там и возможно подскажете ему ваши вопросы, обнимаю, пока.
Известный кардер Сергей Павлович беседует с белым хакером (white hat хакер), предоставлющим услуги пентеста (тестирования сайта или приложения на проникновение извне) различным компаниям и сервисам.
Приятного чтения!
Содержание:
- Как давно занимаешься пентестингом и что это такое?
- Какую соцсеть взломать легче всего и почему?
- Как выглядит практика частного пентестера?
- Бывали случаи, когда случайно DDoS'ил сайт?
- Как проверить сайт на уязвимость DDoS?
- Самые известные платформы пентестеров
- Где, в основном, рекламируешься?
- Спонтанное проникновение на сайт без договора
- На какой операционке сервер самый безопасный?
- Нужно ли знать языки программирования для пентестинга?
- Что заказывают тестировать сейчас: сайты или приложения?
- Какие программы нужно иметь пентестеру для начала?
- Сколько времени примерно тратишь на один заказ?
- Кем ты себя видишь через 5 лет?
- Насколько сильна конкуренция между пентестерами?
- Мешает ли совместный, но не согласованный пентестинг на сайте?
- Изменилась ли ситуация с SQL-инъекцией за это десятилетие?
- Есть ли у тебя определённая сертификация?
- Какие основные направления есть у пентестинга?
- Какую литературу можешь посоветовать начинающим пентестерам?
- Какие сайты ты читаешь для получения новостей по своей специальности?
- Эпилог
Как давно занимаешься пентестингом и что это такое?
Павлович:
Друзья, привет! В ходе наших предыдущих интервью мы не раз встречались и с хакерами, они были гостями студии, и с теми, кто их ловит. Это Group-IB была. И вот сейчас у нас в студии гость. Промежуточное такое звено получается. Он и не хакер, и не тот, кто их ловит, но он white hat хакер.
То есть, что означает?
Хакер:
Пентестер
Павлович:
Пентестер, да. То есть, тот, кто находит уязвимости и сообщает компаниям, что у вас есть такая уязвимость и получает за это денежку. Или не получает. Давай для начала, сколько тебе лет? Как давно ты этим занимаешься? Что такое в целом пентест? А потом пройдемся, как это все выглядит.
Хакер:
Да-да-да, я расскажу немного о себе Мне 28 лет Я занимаюсь поиском уязвимостей в общем, исследованием в области информационной безопасности. Веду свой техноблог, где рассказываю о различных инструментах. Где? На Ютубе или где? На Ютубе, да. Начинал, правда, в ТикТоке. Потом тебя ТикТок заблочил, собственно, как и меня сегодня, нет? Да, но многие видео блочили.
Как раз-таки самые интересные, где там про пентест. ТикТок постоянно это блочит всё. Поэтому я вот сейчас начал снимать свой Ютуб, чтобы более как-то делиться информацией о инструментах, как раз-таки по пентесту, собственно. Kali, Linux, ну и прочие вот эти все вещи. И сколько ты этим занимаешься? Я занимаюсь этим примерно 5 лет. Но я не всегда этим занимался.
Я работал и аналитиком, то есть после получения образования. Работал аналитиком системным, работал в сфере безопасности, сетевиком работал.
Павлович:
Сетевик – это сис-админ?
Хакер:
Ну да, да. То есть параллельно я занимался сниффил сетки в корпорациях, на предмет утечек различных, ну вот такие вещи.
Павлович:
5 лет – это нормальный уже опыт для пентестера,
Хакер:
Уайтхед-хакера или это малый? Да, это приличный на самом деле возраст для пентестера. Но я в самих пентест-компаниях не работал, хотя мне предлагали работать, не буду называть, в каких.
Павлович:
Привет, Касперский.
Хакер:
Ну, сейчас я занимаюсь, в общем-то, частной практикой. А почему ты в маске тогда? В маске я, потому что начал вести свой блог в маске, и какое-то время рассказывал про асинт, про разведку, и многие меня постоянно пробивали, еще что-то. Но это как большой образ, я ни от кого не скрываюсь, криминалом не занимаюсь. И те, кто меня находит, не пишите, пожалуйста, взломай аккаунт жены.
Взломай ВК. Нет, у них любимый вопрос – это жена забыла пароль от одноклассников. Вот такие вот забывчивые жены.
Павлович:
Как легко взломать сейчас аккаунты в соцсетях? Потому что, когда мне один раз в жизни понадобилось, у меня были обоснованные подозрения, я платил на одном форуме. На 15 долларов, по-моему, это был 2008 год, и мне буквально за несколько часов мне скинули аккаунт того человека, который меня интересовал. Причем все без кидалово, потому что был скриншот моего именно сообщения, которое я туда отправил.
Хакер:
Да, его действительно можно взломать. В основном используются фишинги, то есть перехват сессий аутентификационных. Ну, поддельный сайт ВВК для одноклассников. Да, всё верно. Вот, у меня тоже знакомого недавно взломали. Ну, там, как обычно, рассылка по контактам. Мол, пришли денюжку. А в этот момент, чтобы жертва не заходила, ей никто не дозвонился, они, в общем, досили телефон.
Вот такой вот интересный метод.
Павлович:
Ну, то есть, смс-бомбер поставили, да?
Хакер:
Да, досили его очень сильно, и человек не мог в районе двух часов попасть и ни с кем связаться. В этот момент. Ну, в момент взлома, соответственно.
Павлович:
Но обычно так не делают даже, да, не доходят до этого.
Хакер:
Ну, да. Это уже более такие профессиональные ребята поработали.
Павлович:
Моего брата взламывали, младшего, в ВК его взламывали и тоже делали такую рассылку, там, застрял на границе, скинь срочно денег надо, вечером приеду. Еще использовали такой момент жадный, знаешь, вечером приеду, отдам там на 10 долларов больше. Но и хотя его там все эти контактлисты, друзья, они все молодые, у них денег особо нет, студенты там, а они перечислили ему там где-то около 200 долларов все равно, и потом еще говорили, что это ты там сам замутил, да,
ну, а его взломали, а он повелся, была рассылка типа там, в игры там часы, не знаю, к Xiaomi, к примеру, и он авторизовался на левом этом сайте, получается, фишинговом, поддельном, через свой ВК, то есть сам отдал зломышленникам в руки пароль от своего ВК.
Какую соцсеть взломать легче всего и почему?
Павлович:
Какую соцсеть сейчас из русских, ну и Фейсбук тот же возьмём взломать, легче всего? И почему?
Хакер:
Это на самом деле без разницы, какую сеть. Все одинаково имеют двухфакторную аутентификацию. И тут дело фишинга и социнженерии. Но пентестеры этим не занимаются, то есть, ни фишингом, ничем. Тут немножко это по другим ребятам.
Павлович:
Ты сам затронул взлом соцсетей. Давай тогда в целом определение пентесту в твоем понимании или в общепринятом.
Хакер:
Пентест – это, скажем так, такая дисциплина в информационной безопасности, предназначенная на нахождение уязвимости и, соответственно, составление рекомендаций по их устранению.
Как выглядит практика частного пентестера?
Павлович:
Ты говоришь, что ты занимаешься частной практикой. То есть, когда ты работаешь в компании какой-то крупной, там все понятно. То есть, ты пришел на рабочее место, отработал там месяц, получил денежку, зарплату. А как выглядит частная практика white hat хакера, то есть, частного пентестера?
Хакер:
Это реклама на данный момент. Это где-то фриланс был раньше. Но в законодательной базе все сложно в этом моменте, потому что если кто-то попросит просто, проведи мне пентест, он может, например, не заплатить денег и сослаться на 272 статью Уголовного кодекса неправомерный доступ к информации, соответственно.
Поэтому нужно заключать договор, желательно составлять с юристом. Вот если вы захотите заниматься пентестом, то лучше заплатить 5 тысяч, если...
Павлович:
Ну у тебя же есть типовой какой-то договор.
Хакер:
Да.
Павлович:
Можно дать людям там ссылку прикрепить, к примеру.
Хакер:
Да.
Павлович:
Вот. Потому что много, знаешь, там, последователей твоих, к примеру, есть, которые что-то научили взламывать, им хотелось бы на этом зарабатывать. Они боятся попасть в тюрьму и не идут на черную сторону. Да, ставим ссылку тогда на договор, какой-то типовой. И ты, получается, заранее составляешь договор, что я буду взламывать ваш интернет-магазин или вашу сеть, вашей корпорации?
Хакер:
Да, причем должно быть все оговорено, то есть время, что конкретно, IP-адреса, вот это все должно быть оговорено, чтобы ни шаг влево, ни шаг вправо, чтобы где-то уже это не попадало, не уходило за рамки пентеста, получается.
То есть от себя там что-то сделать, мол, вот я в качестве бонуса ддос-атаку сделал, например, точнее, стресс-тест, как правильно говорить в пентесте, то это уже как бы совершенно другая история.
Бывали случаи, когда случайно DDoS'ил сайт?
Павлович:
А были у тебя случаи, когда ты в ходе пентеста, именно у тебя ддос происходил, и как на это реагировали клиенты?
Хакер:
Ну, клиенты хорошо реагировали, если они просили это.
Павлович:
А если не просили, вот ты тестируешь мой сервис и кладешь его на несколько часов, ладно, мы договорились, что ты будешь там, ну, я подозреваю, что так возможно случиться, И мы договорились, что это с часа ночи будешь, когда мало, допустим, посетителей на сайте. А вот днём ты тестируешь, не знаю, крупный шоп, допустим, MVideo, к примеру, очень крупный, да, Лехов какой-нибудь. Загонит тебя за рекламу.
И получается, что ты кладёшь их в сайт, и всё.
Хакер:
Бывали такие случаи? Нет, такого не бывало, потому что без договора, ну, соответственно, это уже как бы, ну, криминальное действие.
Павлович:
Ну, случайно, я имею в виду, бывало в ходе пентестов, когда ты кладёшь чью-то сеть ддсом, по сути?
Хакер:
Да нет, в принципе, нет такого не было.
Павлович:
А вообще в практике пентестеров такое часто встречается?
Хакер:
Вообще положить можно, да. Но, как правило, такие платформы, точнее, компании, которые выдвигают свою Bug Bounty-программу, должны, соответственно, согласовывать с пентестерами, что там будет происходить. Как я ранее сказал, просто заддосить сайт и положить его, это не камильфо, скажем так.
Как проверить сайт на уязвимость DDoS?
Павлович:
Как быть, если я хочу проверить стойкость своего сервиса, например, на уязвимость к ддосу? А именно имеется в виду, если вы сами будете пантестить? Ну вот меня, допустим, уже все дыры закрыли, которые мы знаем, за исключением нескольких XSS, к примеру, беспантологов, да, и я хочу проверить, выдержит ли он нормальную, масштабную, разноплановую, разного типа ддос-атаки.
Справка:
Bug Bounty - это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить уязвимости, прежде чем широкая общественность узнает о них, предотвращая злоупотрбления.
Хакер:
Просто составляете доп. соглашение, где будет прописана еще одна дополнительная услуга, оговоренная по времени проведения и так далее. Ну и, соответственно, претензии не имеете, если ваш сервис там ляжет, грубо говоря. На несколько часов.
Павлович:
Ну да. Ты сказал Big Baunty, то есть Big Bounty – это охотник по сути за ошибками, охота за ошибками, да?
Хакер:
Да, да, да. Это легальные такие платформы, куда заходят крупные компании, выставляют свой таск и, соответственно, намечают стоимость за уязвимости.
Павлович:
Ну, к примеру, я поясню, если вы не поняли. Компания Kiwi, к примеру, пишет там, за уязвимость критическую мы платим 5000 долларов, за уязвимость какую-то интерфейс мы меньше платим и так далее.
Самые известные платформы пентестеров
Павлович:
Самые известные такие платформы это какие? HackerOne?
Хакер:
HackerOne, это Баккраут, вот я знаю, да, две такие основные платформы, на которых, собственно, все крутятся.
Павлович:
Но ты заказы получаешь основные там, либо с таргетинговой рекламой?
Хакер:
Нет, я, кстати, с ним еще пока не работаю, мы планируем на них выходить сейчас. Мы в настоящее время пишем бот для автоматических тестов. Единственный момент, что мы пока не знаем, как это все с юридической стороны. Потому что если мы в публичный доступ выложим бот, то будет кидать чужие сайты. Кидать чужие сайты, да. И вот кстати очень интересный момент, почему обязательно договор нужен.
Потому что конкурент может действительно попросить сделать пентест своему конкуренту. И это уже как бы правонарушение будет получается.
Павлович:
Так что бота придется, код бота придется стирать. А вот эти платформы типа HackerOne, я знаю, они хороши для пентестеров тем, что там есть рейтинг каждого.
Хакер:
Да, но русских компаний там не так прям много сейчас. Но Киви я видел. Да. Там есть, кстати, приложение, можно тоже… Разные уровни там есть критические, в основном четыре уровня. Четвертый получается уровень критический – это с возможностью инъекции, там SQL-инъекция, XSS-уязвимость, и мелкие различные, там за них платят от нуля, скажем так, до 100 долларов.
Это какие-нибудь сервер-ликс, когда разработчики оставляют какую-то информацию, например, о версии PHP или версии самого сервера. Бывает список паролей оставляют в открытом доступе в комментариях.
Где, в основном, рекламируешься?
Павлович:
Вот ты слил, допустим, на какую-то таргетированную там контекстную рекламу, ты где вообще в основном рекламируешься?
Хакер:
Google, Яндекс. То есть контекстная реклама. Контекстная, хочу таргетированную.
Павлович:
Вот ты слил, например, там тысячу долларов, сколько это заявок приносит и сколько из них становится реальными клиентами, доходит до оплаты?
Хакер:
Так прямо сейчас не скажу аналитику точную, но где-то.
Павлович:
Я скажу так, что… По процентам можешь сказать, из ста процентов там.
Хакер:
Нет, я, наверное, на расходные 3000 рублей, скажем так, можно получить одну заявку, вот так где-то. То есть, там 50 почти долларов, чуть меньше одна заявка. Да. Реальная, за которую заплатят? Да. Ну, плюс-минус. Не всегда, конечно. Это, опять же, такая кривая статистика. Это я так сказал. Но заказ, вот, средний получается от 7 до 15 тысяч.
15 тысяч – это можно сделать самый крутой тест социотехнический называется.
Павлович:
Позвонить сотруднику и попробовать обмануть его и выведать у него пароль админский?
Хакер:
Не совсем позвонить, можно и позвонить на самом деле, если это будет оговорено. Социотехнический тест – это когда, скажем так, как Рэд Тимминг, о нем знает, скажем так, руководитель. Ведь большинство ошибок – это человеческий фактор. И сначала, грубо говоря, проводится вот такая социоатака.
Типа на корпоративную почту присылается какая-нибудь полезная нагрузка, которая, допустим, откроет какой-нибудь порт, и можно получить реверс.
Павлович:
Ну типа письмо от налоговой, да, с подмененным e-mail на налоговую, к примеру, а там будет какая-нибудь PDF или макрос Excel, который запустит эксплуат.
Хакер:
Да, допустим. Если это всё не срабатывает, то, получается, переходим к внешнему тестированию. Вообще, OpenTest делится на два типа тестирования. Это BlackBox и WhiteBox. BlackBox – это анализ защёности внешней.
А whitebox – это, например, когда заказчик предоставляет VPN-соединение, и что можно внутри сетки уже там потыкать ее различными способами.
Павлович:
Ну а blackbox – это из интернета, да?
Хакер:
Да, когда предоставляется там, допустим, белый IP-адрес, IP-адрес сервера, и вот там различными инструментами и технологиями проверяется наличие уязвимости, открытые и закрытые порты, ну и так далее.
Павлович:
IP-адреса, допустим, моего сайта, ты не знаешь, он скрыт за Cloudflare или этим досгвардом, что ты будешь делать?
Хакер:
Это уже на самом деле проблематичная история, но в принципе можно бы пингануть, как-нибудь его вытащить оттуда, посмотреть.
Павлович:
Вот мы сегодня сами нашли способ, там висят на субдоменах сайты, и мы нашли, что один из сайтов в свете просто айпишник реальный. А где? Хуиз смотрели? Я не знаю, это у меня сегодня Прогер написал. То есть я говорю, что что-то не восстановил этот сайт, там SSL слетел, он говорит, так потому что из-за него, говорит, он светит этот, он светит, все закрыты, основной домен и субдомены закрыты за клаудом, но он говорит, вот там все послетало, короче, SSL и прочее, я его, говорит, не поднимаю, потому что он светит, наш реальный айпишник.
Хакер:
SSL слетел, получается. Ну, я понял.
Спонтанное проникновение на сайт без договора
Павлович:
А по такой схеме, когда ты сам нашел какой-то случайно там шарился в интернете, нашел какой-то уязвимость на сайте, там что-то взломал, посмотрел, что она такая критическая. В принципе, ну ничего не удалял там, не стирал, следы и все логи почистил, и я сталкивался с таким сам. И пишет компанию потом, что у вас там какие-то уязвимости достаточно серьезные, которые могут привести к тому, к тому. Давайте я вам все исправлю, и вы мне заплатите 200 долларов, например.
Хакер:
Ну, вопрос такой тоже сомнительный, на самом деле. Но так делают. Делают, да. Можно так сделать, действительно. Действительно, можно, но не факт, что заплатят просто. Потому что нет договора, там, скажут, ну, есть-есть, допустим. У меня просто был такой случай. Ещё когда я учился в университете... Ты на кого учился? Информационную безопасность, комплексное обеспечение. Был случай, тоже я постоянно тыкал какие-то сайты.
И, в общем, тыкал сайты, которые занимаются КГБ-атрибутикой. То есть там кружки, флаги, вот это всё. Ну и натыкал там, искали инъекцию. В общем, запустил всё передо мной, грубо говоря. Вот эта вся база данных из QL. Список клиентов, заказы, цены. Заказы, цены, пароли, естественно, тоже. От админки там все. И, в общем, ничего не сделал, потому что думаю, ну, сайт КГБ, сейчас напишут мне еще это.
Влепят что-нибудь. Ну, так вот.
Павлович:
Ну, когда мне написали и показали, что у меня есть, я заплатил без проблем. То есть заплатил, и потом этот парень защищал нас долгое время. До сих пор общаемся. Но из, окей, допустим, не из твоей личной статистики, а в целом вот у White Hat хакеров, да, вот нашли там ты, твоя банда, там знакомая, там неважно, сообщество пентестеров нашло, допустим, 100 уязвимостей сами. Вот вы делаете 100 рассылок, к примеру, на корпоративную почту, естественно, или там на LinkedIn личный директор у этой компании.
Из 100 отправленных вот таких отчетов сколько в итоге будет оплата, к примеру, и сотрудничество?
Хакер:
Ну, это сложно сказать, на самом деле, потому что нахождение просто пальцем в небо, это похоже на вот заплатите мне что-нибудь, я вот у вас там, ну как бы, это несерьезно в основном, потому что многие просто платить не будут. У нас же как в России, по крайней мере, пока не взломают, пока там я что-то не потеряю, вот, ну и никакие пентесты нам, собственно, не нужны.
Пока гром не грянет. Да-да-да, пока гром не грянет. И поэтому у нас, к сожалению, пока не очень развита эта вся история. В Америке она уже, ну, где-то в Европе уже вовсю идет, там, безопасность, еще что-то. Но там есть огромная штраф,
Павлович:
Это репутационная потеря, раз. Да. Можно вообще бизнесы лишиться. Во-вторых, огромная штрафы государству, если ты, по твоей вине, доказано из-за халатности, что ты вот допустил такую утечку.
Хакер:
Мало того, еще почему, много же существует эксплойтов, которые действительно работают сейчас у многих, так как я знаю даже лично многие компании, ну там небольшие даже фирмы, у них там сервера на них, вроде казалось бы очень важные данные на них, там CRM какие-то висят, еще что-то.
Но у них в общем-то левый софт, левая операционная система, вот это все старое, устаревшее, не обновленное И потом, хоп, можно какой-то эксплойт эксплуатировать и получить доступ.
Павлович:
Основная ошибка, с которой ты сталкиваешься в работе, то есть это не пропатченные сервера и ПО, как ты сейчас говоришь, да?
Хакер:
Да, это самая главная ошибка. Самая главная ошибка – это необновление, соответственно, программного обеспечения.
На какой операционке сервер самый безопасный?
Павлович:
На какой операционке сервер безопаснее всего, на твой взгляд?
Хакер:
Да на самом деле неважно. Если зайти в базу SVA, то можно эксплойтов найти как и под Linux, так и под Windows. То есть тысячи просто. Зависит, наверное, больше от настроек. Да, ровные руки. Да, да, да. Плюс файрволы. В основном же DLP-системы еще ставят. Какие-то файрволы, DLP-системы. Это прям серьезно, если подходить к вопросу.
А мелкие компании, конечно же, этими занимаются.
Павлович:
Ну, еще мне ребята рассказывали, часто не отключают неиспользуемые порты.
Хакер:
Да.
Павлович:
Тоже такая распространенная ошибка.
Хакер:
Да. Ну, и я уже не говорю о том, что у нас действительно в России еще многие пользуются, ну, Windows 7, как бы, я знаю таких человек, а у них, как бы, Eternal Blue, разные, работает под любую, под любую семерку, как бы, даже не надо там ничего скидывать.
Нужно ли знать языки программирования для пентестинга?
Павлович:
Ну вот XP была в этом плане неплохая система, потому что она уже столько пропатчена была просто, и когда её перестали обновлять, хотя уже на маке давно было, я даже чуть не плакал. Нужно ли знать языки программирования какие-то для пентеста?
Хакер:
Да, обязательно. Какие? Это веб обязательно, если мы говорим о веб-уязвимости. Ну HTML ты, Миша, да? HTML, JavaScript, PHP, какие-то каскадные таблицы типа CSS, но это всё надо просто понимать, потому что это всё в комплексе. И что касается, если мы говорим о исследовании программного обеспечения, т.е.
Обратной разработки, reverse engineering, то это Assembler, конечно же, C++, Assembler надо знать, чтобы сделать нормальный реверс IDPRO или OLIDEBUG старенький, чтобы это всё сделать. Если заниматься только этим реверсом, это уже ближе к вирусному аналитику получается.
Но, например, уязвимость переполнения буфера можно таким образом найти в каком-нибудь приложении, написать свою СВЕ-шку, да, уязвимость, и будет уязвимость нулевого дня, скажем так.
Павлович:
А сколько ZeroDay, да, вот этих уязвимостей нулевого дня ты сам лично находил за карьеру?
Хакер:
Была уязвимость в приложении, если я не ошибаюсь, это какая-то читалка, по-моему, PDF-ная, там было переполнение, вот. Ну такие в основном уязвимости дорого стоят, ну это среди хакеров там они закрывают.
Павлович:
Ну да, и по 500 тысяч долларов есть, и по миллион. Их спецслужбы, как правило, в Америке скупают.
Хакер:
Да, и, собственно, дороговизна таких эксплойтов зависит от масштабности применения данного софта. Если в винде в десятке какой-то там уязвимость нулевого дня, то это будет вообще прям очень круто. Я даже слышал, что Apple вроде миллион долларов готова заплатить, если будет найдена уязвимость на телефоне, по-моему, на айфонах, чтобы получить контроль над айфоном без каких-то там брутофорсов, еще что-то.
И социальной инженерии. Да.
Что заказывают тестировать сейчас: сайты или приложения?
Павлович:
Веб-сайты либо приложения, что заказывают сейчас люди тестить больше всего?
Хакер:
Сейчас на самом деле уже уравнивается эта история, Потому что многие, получается, разработчики выкладывают свои программы, то есть даже мобильные приложения, они выкладывают на бакбаунте. Поэтому сейчас и то, и то, ну, в принципе, пользуются.
Павлович:
60 на 50, да?
Хакер:
60 на 40 где-то.
Павлович:
То есть приложение 40%?
Хакер:
Где-то так, где-то так.
Какие программы нужно иметь пентестеру для начала?
Павлович:
Какие наборы программ, может, какие-то там сетевые тулсы, там эксплойт паки и прочее нужно иметь пентестеру, чтобы уже так начинать карьеру, либо успешно её вести?
Хакер:
Ну, желательно скачать какую-нибудь операционную систему, Kali Linux, например. Можно BlackArch. Наверное, лучше Kali Linux, потому что информации просто на неё доступны больше в интернете. На самом деле неважно, какая операционная система, потому что, в принципе, все инструменты можно скачать на обычную Linux, на Debian какой-нибудь или на Ubuntu, просто зачем это делать, если уже есть готовый инструмент.
Из инструментов это, наверное, метасплойт, такой самый простой для вхождения, скажем так. Интуитивно понятно все, там подгружаешь эксплойт, подгружаешь payload, устанавливаешь настройки, соответственно, IP-адрес жертвы и, в общем, эксплуатируешь. Да-да, нет, пробила, не пробила, вот такого плана.
Инструментов много, это Wireshark обязательно для анализа сети, это SQL map для исследования на SQL инъекции и прочее, Nmap обязательно для сканирования, например, в локальной сети просканировать сетку и получить локальные IP-адреса всех машин, чтобы и соответственно уже их там тоже можно было поплистить.
Словари для брутфорса? Да, словари для брутфорса, хэшкэт, тоже такой есть инструмент. На самом деле их очень много, и в комплексе результат получается лучше, если все использовать.
Павлович:
А сколько времени занимает вот пентест, не знаю, какой-нибудь интернет-магазин в твоем исполнении? Ну MVD уже, к примеру, мы о нем заговорили.
Хакер:
Ну, достаточно широкий вот такой. Да-да-да, если мы говорим о серьезной организации, то можно от часа до месяца, я не знаю, там, искать баги какие-то. Вот если говорить прям про серьезный.
Сколько времени примерно тратишь на один заказ?
Павлович:
Ну, а из основных твоих вот заказов, сколько времени ты на каждый тратишь, плюс-минус, усредненно?
Хакер:
Нет, если, например, компания небольшая, просто фирма какая-то, ну, там, хотим сделать. Я думаю, часа 4 где-то выходит примерно. И это стоит там 15 тысяч, к примеру?
Павлович:
Я думаю, 7-10. 7-10?
Хакер:
Да.
Павлович:
То есть за 4 часа ты зарабатываешь, ну пусть 7 тысяч, к примеру, это 100 долларов, то есть 25 долларов в час примерно?
Хакер:
Это в том случае, если заказов столько, много. Но, как правило, в России на пентест столько у нас не выходит, на самом деле. Что вот прям...
Павлович:
Постоянно искал?
Хакер:
Постоянно, да, мы там в работе, все 24 часа мы пентестим там что-то.
Павлович:
Ну, естественно. Как часто просят, после того, как ты предоставил заказчику, например, отчет об уязвимостях, как часто просят устранить их или связаться с их? То есть это происходит как? Ты устраняешь, да, за доп. Плату, например, или объясняешь их программисту, где что сделать, или они уже собственными полностью усилениями их устраняют?
Хакер:
Нет, устранению уязвимостей мы не занимаемся, у них есть свои веб-разработчики, мы пишем довольно-таки подробный отчет, может быть, 20, 40, 60 страниц, может даже больше.
Павлович:
Ну, типовой просто, ты пункты заполняешь как чек-лист.
Хакер:
Такой. Да-да-да, потому что на самом деле закрыть эти уязвимости не так сложно. И уже они либо нанимают кого-то там заново, допустим, они сделали один раз сайт, ну вот у них дырка, надо ее закрыть, они там нанимают кого-то, то есть мы закрыть как там веб-мастера, ничего не делаем, не меняем у них, только рекомендации. А ты постоянно говоришь мы, мы, мы. Это кто? Ну, у меня еще есть пара ребят, так скажем, энтузиастов, которые со мной этим занимаются.
Ну, нравится им просто. Короче, ваше ОПГ.
Павлович:
Кайфовать, да, от этого. Понял. И как распределяются доли, например, от заказа вы получили там? То есть через тебя же заказы, я так понимаю, идут?
Хакер:
Да, ну, по времени работ, когда 30, когда 40 процентов. Иногда просто, не знаю, человек полностью сделан, там, 100 процентов. То есть я в этом плане как бы это... У меня нет четко построенной какой-то бизнес-истории, где я им говорю, там, вы получаете 15 процентов, а я, там, 85.
Кем ты себя видишь через 5 лет?
Павлович:
А кем ты себя видишь в информобезопасности через 5 лет, допустим?
Хакер:
Я думаю, в этой же сфере. В сфере пентеста и исследования. То есть так же частным мастером, по сути? Да, да, скорее всего так. Компанию не планируешь? Хотелось бы, хотелось бы. Очень показательный пример, конечно, это Group IB. Серьезная история. Но вот что-то узконаправленное, именно по пентесту, хотелось бы такое что-то сделать.
Насколько сильна конкуренция между пентестерами?
Павлович:
Насколько сильна конкуренция между White Hat хакерами?
Хакер:
Огромная, огромная конкуренция. В том плане, что очень много ребят учатся, заканчивают эти специальности. Очень многим интересно это все. Много ребят занимаются в CTF. Захват флага, у них такие турниры тоже происходят. Но, к сожалению, вакансий очень мало. Официально трудоустроится? Я смотрел, на Headhunter всего 25 вакансий.
Вот это все официально. А так, получается, человеку надо где-то искать. Ну, наверное, это секьюрные компании какие-то.
Павлович:
Что мешает пойти тогда на западный рынок, где больше денег и больше заказов?
Хакер:
Я думаю, английский язык для многих тоже становится барьером таким, как ни странно. Хотя, в принципе, сейчас многие его знают, но не все готовы, скажем так, переехать. И у нас же как? Даже когда я учился, у нас в основном преподаватели наши, это полковники, подполковники. Ну, и как-то вот все это происходит. Патриотизм, то есть, очень сильно у нас.
И многие пытаются все-таки находить... Многие в НИИ идут работать, в различные, где платят там по 25 тысяч рублей. Поэтому немногие готовы переехать куда-то. Ну, и нужны какие-то коммуникации. Поэтому не у всех получается это, к сожалению.
Мешает ли совместный, но не согласованный пентестинг на сайте?
Павлович:
Да, с английским у нас до сих пор, конечно, беда. Я помню, как меня в школе учили, там, «Seasons and Weather», «London is the Capital of Great Britain», там, и так далее. Если несколько white hat-хакеров тестируют одну систему, они мешают друг другу или нет?
Хакер:
Да, они заполняют эфир. Потому что, например, если мы говорим про стресс-тест... Ну, твоя группа, например, втроем вы тестите. Нет, нет. То есть, если, например, мы тестим веб-сайт, то не мешаем друг другу, потому что мы, допустим, если вручную тестируем через какой-нибудь Burpsuit…
Павлович:
Это что такое?
Хакер:
Это специальный софт для нахождения уязвимостей на сайтах, соответственно.
Burpsuit вешается на localhost и, получается, он находится между браузером и сайтом. И, соответственно, можно принимать, подделывать все запросы отправлять на сайт. Модифицировать, скажем так. Ну и смотреть как сервер реагирует на эти запросы.
Павлович:
А если несколько сторонних групп, например, то есть не связанных между собой, вот он заказал пентест там у вас, заказал у швейцарской компании какой-нибудь и не разнес их по времени и вы тестируете, а так случайно сложилось в одно время?
Хакер:
Если это не DOS, то это не критично, потому что при обычном тестировании, через тот же Burpsuite, там не настолько много запросов, чтобы как-то мешать друг другу, чтобы какая-то возникала коллизия, поэтому это в принципе не проблема. Нескольким группам работать, а с одним веб-ресурсом.
Павлович:
Твоя любимая вязвимость, вот у меня, например, была SQL. Я больше ничего не умел просто.
Хакер:
На самом деле и моя любимая тоже SQL, и XSS, конечно же.
Изменилась ли ситуация с SQL-инъекцией за это десятилетие?
Павлович:
Я когда писал книгу свою, в ней собирал информацию, там было написано, уже не помню сколько точно, порядка 40% мировых веб-сайтов, описал её там в 2010 году, подвержены SQL-инъекции. Изменилось ли вот с 2010 года, за десятилетия что-нибудь в сфере SQL? Стало ли их меньше или всё то же самое?
Хакер:
Да, конечно изменилось, потому что появились уже более безопасные фреймворки, где она прям находится на на первом месте по АВАСП, это уязвимость ИСКЕЛИ. Её, конечно же, не так просто сейчас найти. То есть ИСКЕЛИ уязвимостей сейчас меньше? Да, определённо меньше, конечно. Много других есть разных, скрытых, которые не входят в этот топ-10. Потому что там в топ-10 такие слишком уже прямые ссылки.
Любимый инструмент Масоловича, то есть адресная строка, там, перебрать.
Павлович:
Незакрытые папки находить?
Хакер:
Незакрытые папки, да, такие вещи. И поэтому, конечно же, ее намного меньше сейчас на сайте. А что вот в этом топ-10 угроз? Ну, это инъекции, прямые ссылки, сессии, которые не привязаны, допустим, к IP-адресу, XSS, вот это все. Но самый опасный получается, который позволяет инъекцию взять кода.
Если XSS, то JavaScript.
Павлович:
С XSS часто ничего нельзя сделать, можно просто в ходе одной сессии заменить что-то на сайте и скриншот сделать. Так я то же самое могу сделать через код сайта.
Хакер:
Можно украсть, например, куки пользователя.
Павлович:
Через XSS?
Хакер:
Да.
Есть ли у тебя определённая сертификация?
Павлович:
Есть ли у тебя определенная сертификация? Потому что, знаешь, как сисадмины сдают, у них там от СИСКа, например, сертификат какой-то, веб-мастера, которые рекламу в Гугле настраивают, у них тоже, они часто, у меня друг в тесте, он является сертифицированным тренером.
Хакер:
Гугла. Ну, обязательно, опять же, сертификации тут нет при устройстве на работу, тут чисто знание как бы, ну, можно и получить, в принципе, но я никогда их не проходил, то есть я обучение проходил, предсертификацию, но никогда их не сдавал, собственно, потому что не было нужды Меня их как-то никогда не спрашивали. Там есть тот же цех, вот эти вот все для начинающих и так далее. Поэтому я их никогда не получал.
И, в принципе, они действительно не нужны.
Павлович:
А какой имел бы смысл, например, из всех вот таких сертификатов получить человеку, который работает в такой же области, как и ты или тебе для дальнейшего трудоустройства в крутую компанию, к примеру?
Хакер:
Наверное, по сетям что-нибудь. По ЦИСКу что-нибудь, например, такое можно получить. То есть там просто обучение предполагает, что человек действительно очень досконально изучит строение сетей полностью. И уже вот этот сертификат, он может показать, что он действительно знает 7 уровней модели оси, TCPIP протоколы, и вот с этим уже как-то можно работать.
Какие основные направления есть у пентестинга?
Павлович:
Ну да, я видел там список вопросов, я бы, не знаю, на один из десяти ответил, может быть. Какие основные направления, если они есть, существуют в пентестах, подразделяются на что?
Хакер:
Редтимминг, пентест и… ну да, и все, получается.
Павлович:
Ну, блэктимминг тогда.
Хакер:
Нет.
Павлович:
Ред? Нет такого. Ред. Я много раз слышал редтимминг, но у меня не было времени во все это погружаться. Опиши, что это вообще такое, простыми словами.
Хакер:
Редтиммингом занимаются же более… заказывают более серьезные корпорации, у которых Firewall, DLP-система, и суть редтиминга заключается в том, что пользователи не знают, что будет проведен пентест. Он может произойти, например, ночью на кампанию, и это будет без ведома рядовых сотрудников.
А пентест, соответственно, оговаривается со всеми, что так и так, будет проведено тестирование с правами какого-либо пользователя это будет все происходить.
Павлович:
То есть принципиальное отличие одно, редтиминг – это когда никто кроме директора образно не знает, что будет, а пентест, в принципе, много кто в курсе. Да, да, да. Многие кто в курсе и поставлены, скажем так. А в инструментарии и в тактике там отличия?
Хакер:
Нет, различий нет практически. Но скорее всего, будут использованы более какие-то глобальные сети, чтобы это был действительно DDoS, а так, а не DDoS, потому что, естественно, какую-то крутую сетку, стресс-тесты делать с одной машиной – это как-то несерьезно. Ну и стоимость, соответственно, в разы будет отличаться. Да.
Какую литературу можешь посоветовать начинающим пентестерам?
Павлович:
Какую литературу для людей, которые хотят заниматься такими взломами на заказ, легальными совершенно, ты мог бы посоветовать, чтобы зарабатывать, не знаю, сколько Как ты зарабатываешь, кстати, вот такой частной практикой сейчас, на данном этапе?
Хакер:
Выходит по-разному. Ну, где-то 150 сейчас. 150, да. То есть, как бы, если сейчас расширяться как-то, мы сейчас планируем еще, я, точнее, планирую еще заняться обучением. Хочу записать свой курс, действительно, годный по всем этим инструментам. Потому что вся информация разрознена, там, где-то что-то на английском. Хочу, чтобы вхождение было попроще, как бы с этим курсом можно было посмотреть.
Павлович:
Мы в сентябре выпустим на рынок хорошее приложение именно для курсов, которое на порядок лучше гет-курсов. Так что подожди до сентября с курсом.
Хакер:
Итак, литература. Литература, значит, обязательно по сетям. Это Танинбаум, компьютерные сети. Это архитектура компьютера Танинбаум и Танинбаум операционной системы. Сколько он тебе заплатил? Нисколько, да. Я думаю, он не нуждается в этом. И, наверное, можно порекомендовать книгу «Искусство эксплойта».
Это вот именно по реверсу. Очень будет хорошо и полезно. Ну а так какие-то курсы смотреть, находить информацию.
Павлович:
А по социальной инженерии книги? Я вот читал Митника, например, «Призрак в сети». У него какая-то вторая еще книга есть. Мне достаточно понравилось, как звонили, выведывали.
Хакер:
Лучше начинать с техники, с технологий, потому что многие пентестеры уходят, хакерами становятся или мошенниками. К сожалению, вхождение в профессию действительно сложное, и многие не готовы тратить много времени, потому что тут языки программирования, знания сетей, стеков, протоколов. Администрирование, получается, там, линуксов, макос, там, вот это всё венды, это всё надо знать, и, к сожалению, очень вход сложный, и, ну, вакансий мало, да, о чём я говорю.
Из-за этого идут на тёмную сторону? Из-за этого, да, к сожалению, многие вот начинают взламывать кого-то ещё.
Какие сайты ты читаешь для получения новостей по своей специальности?
Павлович:
А достойны какие-нибудь сайты, вот, именно по информобезопасности, которые ты регулярно читаешь для получения новостей, каких-то уязвимостей? Ну, я...
Хакер:
Ну, Хакер.Ру читал свой? Факеру, конечно, читал. Ксакеб, да? Да. Ксакеб. Есть, ну и эксплойт датабейс, такие вот вещи технологичные можно посмотреть. Какие новые там появляются, эксплойты те же, уязвимости. Много чего читаю на самом деле.
Павлович:
На русском, на английском?
Хакер:
На английском, на русском.
Эпилог
Павлович:
Оставим, задавайте вопросы, пишите, о чем бы вам хотелось узнать в рамках пентеста, а что осталось за рамками нашего интервью, я попрошу его мониторить, ваши вопросы отвечать там и возможно подскажете ему ваши вопросы, обнимаю, пока.
